Сведения о счетах клиентов крупнейшего индийского банка мог получить кто угодно

image

Теги: Индия, конфиденциальные данные, банк

В открытом доступе был обнаружен незащищенный сервер, используемый системой связи между банком и его клиентами.

Крупнейший государственный банк в Индии State Bank of India (SBI) принял меры по обеспечению безопасности незащищенного сервера, позволявшего любому желающему получить доступ к финансовой информации миллионов клиентов SBI.

На сервере, расположенном в дата-центре в Мумбаи, хранились данные за два месяца из SBI Quick – системы связи между банком и его клиентами. Система позволяет пользователям с помощью текстовых сообщений или телефонных звонков запрашивать данные о состоянии своих счетов. SBI Quick удобна тем, кто не пользуется смартфонами или у кого ограничен выход в интернет.

Как оказалось, сервер SBI не был защищен паролем, и доступ к его содержимому мог получить кто угодно, пишет TechCrunch. Неизвестно, как долго сервер оставался открытым, однако этого времени хватило на то, чтобы его обнаружил исследователь безопасности, пожелавший остаться анонимным.

С помощью привязанного к банковскому счету ключевого слова (например, «BAL») SBI Quick идентифицирует зарегистрированный номер телефона пользователя и отправляет на него сведения о балансе. SBI Quick также может использоваться для получения данных по пяти последним транзакциям, блокировки банковской карты, а также для получения информации о кредитах на машину и жилье.

Незащищенная база данных позволяла в режиме реального времени просматривать все оправляемые пользователям текстовые сообщения, в том числе их номера телефонов, данные по балансу и пяти последним транзакциям. После того, как TechCrunch связался с банком, сервер был защищен паролем.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.